NGAV devem substituir as soluções tradicionais 

Analistas preveem que, nos próximos cinco anos, o mercado de antivírus de próxima geração (Next Generation Antivírus, na sigla em inglês) deverá crescer a uma margem de 60% ao ano.

E esse crescimento será impulsionado pela demanda do mercado em obter soluções mais robustas, e que possam prevenir os ataques a partir do endpoint, e que utilizam como gatilho o comportamento do usuário final.

Embora o UBA (User Behaviour Analytics) faça o endereçamento essas demandas, ele não previne a infecção, e age apenas na detecção da ameaça quando já está agindo internamente.

Aliás, qual é a principal diferença dos antivírus de próxima geração em relação às soluções atuais de segurança?

Os antivírus tradicionais não conseguem fazer a prevenção, como veremos mais abaixo, e as ferramentas baseadas em UBA agem somente depois que o código malicioso está em ação na rede.

A partir deste ponto, é impossível definir qual é a extensão dos danos causados.

A questão é que os antivírus tradicionais não conseguem prevenir ou detectar qualquer tipo Ameaça Persistente Avançada (ATP, na sigla em inglês), por causa do seu alto grau de complexidade.

Apenas soluções que envolvem várias técnicas de prevenção e detecção estão prontas para mitigar este tipo de ataque.

Por que os tradicionais antivírus não funcionam mais?

Os antivírus tradicionais, ao longo de sua história, sempre funcionaram varrendo os arquivos à procura de algum tipo de assinatura – ou seja, pedaços de códigos encontrados em outros tipos de ataques e já documentados.

As bases de dados das assinaturas, distribuídas pelas empresas de antivírus, acabam se revelando um método efetivo somente para as ameaças tradicionais – para esse novo tipo de ataque, são ineficientes por várias razões.

O número de códigos maliciosos e sua velocidade de criação são enormes – e, com isso, as bases de dados de assinaturas só vão aumentando.

Mais do que isso, o método de assinaturas é totalmente ineficaz contra ataques de dia zero (zero-day) – cujo código nunca foi visto antes.

Para coibir a complexidade dessas ameaças, o mais eficaz é utilizar sistemas que possam detectar malware com base no fato de que o código é malicioso – e irá se comportar como tal.

Sistemas tradicionais não conseguem fazer essa detecção pelo simples motivo de que não conseguem “aprender” com o comportamento da máquina.

Ou seja: é preciso utilizar técnicas de Inteligência Artificial para permitir a identificação de padrões de comportamento de máquina além da assinatura.

Machine Learning

Antivírus de próxima geração têm como base machine learning (aprendizado de máquina) e Inteligência Artificial.

Essas ferramentas têm seus algoritmos treinados para reconhecer se um determinado elemento é seguro ou não, a partir do aprendizado prévio.

Uma vez que os algoritmos estejam “treinados”, estão prontos para trabalhar com desafios reais e determinar o que é seguro e o que não é.

Aparentemente o problema estaria resolvido, mas a questão vai além.

Eventualmente, é possível que um arquivo seguro seja classificado como “inseguro”, ou uma aplicação seja bloqueada.

Nesses casos, como funciona um antivírus de próxima geração baseado em Inteligência Artificial?

Irá testar o arquivo para determinar seu grau de confiabilidade.

Se realmente houver uma ameaça, a AI (Artificial Intelligence) é capaz de utilizar esse conhecimento para mitigar ataques futuros.

Artificial Intelligence

Muitas empresas de Segurança da Informação estão desenvolvendo pesquisas voltadas para Inteligência Artificial – não é possível ignorar a tendência, principalmente com a complexidade cada vez mais alta dos ataques.

E uma delas é a norte-americana Cylance, que baseia seu antivírus de próxima geração em Inteligência Artificial.

A Cylance se especializou em criar proteção para o endpoint a partir do aprendizado de máquina, e não das assinaturas reativas.

A Cylance detecta e bloqueia ameaças conhecidas e desconhecidas.

E isso é possível porque a empresa desenvolveu uma plataforma de pesquisa baseada em machine learning que utiliza algoritmos e Inteligência Artificial para analisar e classificar milhares de características por arquivo, compartimentando-os até um nível atômico para decidir se um objeto é seguro ou não, em tempo real.

Como isso funciona?

Pense em como a máquina consegue distinguir a fotografia de um gato da de um cachorro. Cães e gatos têm orelhas e narizes, e são peludos. Para fazer essa distinção, é preciso analisar um volume enorme de detalhes.

O mesmo acontece ao tentar distinguir um PDF seguro de um código malicioso: não há um indicador único.

A rede de Inteligência Artificial precisa examinar uma enorme quantidade de dados para fazer um julgamento confiável.

A abordagem matemática da Cylance permite a interrupção de qualquer código malicioso, independente se o sistema tem algum conhecimento prévio daquele código, ou se o código está utilizando algum tipo de técnica para coibir sua identificação.

Recentemente, a PROOF fechou uma parceria com a Cylance para incorporar às ferramentas da fabricante ao seu serviço de MSS, que se tornou o primeiro no Brasil a oferecer soluções de antivírus de próxima geração.

As soluções de da Cylance são capazes de prevenir ameaças avançadas, do tipo zero-day e ransomwares, complementando ou substituindo os antivírus tradicionais.

Contra o Ransomware

Os antivírus de próxima geração são especialmente eficazes quando se trata do ransomware – uma das maiores ameaças de 2016, que consumiu recursos e tirou o sono de vários gestores.

Isso porque é muito fácil obter um código malicioso de ransomware – não é preciso que o criminoso tenha sequer conhecimentos específicos.

Para agravar a situação, o ransomware não está mais sendo utilizado para somente sequestro de dados e pedido de resgate.

Em alguns casos, o ransomware é usado como uma distração para acobertar um crime mais grave: primeiro o criminoso rouba credenciais, e depois criptografa as informações para manter o time de TI ocupado enquanto informações mais importantes ou sensíveis são roubadas.

No caso do ransomware, empresas como a Cylance também possuem soluções que endereçam essas ameaças de maneira mais efetiva, atuando na prevenção do problema.

O aprendizado de máquina e a Inteligência Artificial permitem realizar ações de prevenção altamente eficazes contra esse tipo de ameaça – que não é detectável pelo antivírus tradicional e embora possa ser identificada pelas ferramentas UBA, é possível que o aviso seja emitido tarde demais.

Ataques Zero-day

Em um teste realizado em janeiro deste ano, 140 códigos maliciosos de ataques zero-day rodaram em uma máquina de testes que utiliza o CylancePROTECT.

A ferramenta permitiu que apenas três códigos maliciosos fossem executados na máquina – um deles foi bloqueado na execução, e os outros dois seguiram.

O resultado do teste mostrou que a solução da Cylance bloqueou 97.9% das ameaças zero-day.

Mais do que isso, o modelo matemático utilizado pelo CylancePROTECT nesse teste foi o mesmo criado em setembro de 2015, e não teve qualquer atualização.

Ao contrário dos antivírus tradicionais, que precisam ter sua base atualizada, a Inteligência Artificial desenvolvida pela Cylance permite a prevenção de ataques complexos e desconhecidos.

Outro teste realizado pela Cylance consistiu em 14.658 amostras de malware, dividido em várias categorias diferentes, como backdoors, bots, vírus, worms, downloaders, aplicativos para roubo de senhas, entre outros.

Deste total, ao menos 97% foram bloqueados antes de serem executados.

Dados da Kaspersky estimam que o Brasil concentra 92,31% de todos os casos de ransomware na América Latina.

Além disso, informações do ISTR Symantec 2016 revelam que os ataques de ransomware cresceram 35% em relação ao ano de 2015, sendo registrados cerca de 992 ataques por dia.

Preocupante, não?

Os desafios na escolha de soluções de segurança do endpoint 

O budget de segurança da informação vem crescendo consideravelmente nos últimos anos, com as soluções de segurança do endpoint respondendo por, em média, 10% do budget total de segurança da TI em 2016.

Ainda assim, os profissionais de segurança enfrentam uma série de desafios para encontrar as ferramentas certas para proteger uma superfície de ataque cada vez maior e mais complexa.

As informações são do relatório The Forrester Wave: Endpoint Security Suites, Q4 2016

O estudo da Forrester avaliou uma série de fornecedores de suítes de segurança do endpoint com base em 25 critérios e destacou os nomes mais importantes da indústria, dentre eles a Cylance, empresa fornecedora de soluções de next-generation antivírus (NGAV) parceira da PROOF

Além de mostrar como cada fornecedor se saiu em cada um dos critérios, o Forrester Wave é uma importante ferramenta para que os profissionais de segurança da informação escolham a melhor solução para o seu ambiente, e oferece um importante ponto de vista do mercado, incluindo seus principais desafios e tendências, com base nas necessidades dos profissionais de segurança da informação entrevistados. 

Segundo o relatório da Forrester, as soluções de segurança do endpoint representam a “linha de frente” na batalha contra os cibercriminosos.

As violações estão se tornando cada vez mais comuns nas empresas e os funcionários são o principal alvo dos hackers.

Os efeitos desses incidentes cibernéticos podem ser devastadores para a organização, gerando consequências como perda de receita e de competitividade e danos à reputação. 

Novos dispositivos aumentam a superfície de ataque 

Segundo o estudo, cerca de 48% dos tomadores de decisão de empresas que sofreram violações de segurança no último ano disseram que o servidor corporativo é um dos principais alvos dos ataques externos.

Em seguida, aparecem os dispositivos corporativos, respondendo por 42%, e os dispositivos dos funcionários, com 40%. 

Esse novo cenário gera uma série de desafios para os profissionais de segurança, que enfrentam uma série de dificuldades para encontrar as ferramentas certas para proteger uma superfície de ataque cada vez maior – que só cresce com o aumento de dispositivos de funcionários ligados à rede corporativa. 

As consequências de contratar soluções de segurança do endpoint ineficientes podem ser altamente destrutivas, pois deixam a empresa vulnerável a uma série de ataques e ferramentas típicas do cibercrime atual, como malwares, exploit kits e técnicas de engenharia social. 

Diante desse cenário, cada vez mais empresas estão buscando as soluções certas de segurança do endpoint e considerando isso algo crítico para o negócio. 

Relação equilibrada entre prevenção e detecção 

De acordo com o Forrester Wave, o mercado de segurança do endpoint está crescendo porque os profissionais de segurança da informação enxergam nos fornecedores de suítes de segurança do endpoint uma maneira de vencer os principais desafios relacionados à segurança. 

Além disso, os profissionais de segurança da informação têm cada vez mais confiança de que os fornecedores de soluções de segurança do endpoint agem como parceiros estratégicos, sempre alertando e aconselhando nas tomadas de decisão relacionadas à segurança do endpoint. 

Os compradores, no entanto, acabam dando de frente com um mercado altamente fragmentado de soluções de segurança do endpoint.

Com o aumento no número de variantes de malware e métodos de ofuscação, os antivírus tradicionais estão se tornando cada vez menos efetivos em sua tarefa de proteger servidores e funcionários.

Como resultado, uma série de fabricantes de tecnologias começaram a se destacar ao cobrir essa lacuna. 

Por outro lado, uma série de fornecedores de antivírus tradicionais conseguiram se adaptar ao novo cenário, construindo ou adquirindo novas tecnologias que não lembram nada as tradicionais ferramentas baseadas em blacklists.

Há ainda as empresas que aumentaram suas defesas antimalwares com capacidades adicionais de análise de ameaças que vão além das listas estáticas. 

Com isso, os profissionais de segurança se veem diante de um mercado fragmentado, com um grande número de diferentes abordagens de segurança do endpoint, cada uma com seus benefícios e desafios. 

Quais as principais necessidades de segurança do endpoint? 

Não existe um conjunto único de soluções de segurança da informação que se aplique a todas as empresas.

Para obter o maior retorno de investimento, cada organização deve aplicar um assessment detalhado de todos os seus ativos, identificar seus pontos fracos e fortes e as principais ameaças ao negócio.

Só assim é possível entender quais soluções de segurança vão atender às necessidades da empresa. 

O relatório da Forrester recomenda categorizar os fornecedores com base em três necessidades fundamentais: prevenção, detecção e remediação de ataques.

Produtos de point geralmente cobrem apenas uma dessas necessidades, enquanto as suítes de segurança do endpoint atendem duas ou até três, dependendo dos níveis de aplicação automática de políticas de segurança de cada uma. 

Saiba mais sobre as necessidades que os fornecedores de soluções de segurança devem atender: 

Prevenir a execução de malwares e exploits 

Uma suíte de segurança do endpoint deve criar um ambiente em que malwares não possam se carregar na memória e exploits não sejam capazes de tirar vantagem de processos em andamento. 

Soluções de segurança do endpoint também devem prevenir ameaças ao reduzir a superfície de ataque com medidas como controle de aplicações e hardening. 

Detectar atividades maliciosas pós-execução 

Considerando que os hackers inevitavelmente conseguirão passar pelos controles de prevenção, suítes modernas de segurança do endpoint monitoram a memória dos sistemas para identificar malwares e aplicações maliciosas antes que elas atinjam seus objetivos. 

Algumas soluções focam apenas no comportamento dos processos, enquanto outras soluções mais avançadas incluem também a análise do comportamento do usuário para construir um contexto completo do ambiente. 

Remediar e conter atividades maliciosas e potenciais vulnerabilidades 

Depois de identificar atividades maliciosas e potenciais vulnerabilidades, uma solução de segurança do endpoint moderna deve ser capaz de ativar um processo automatizado de remediação sem que sejam necessárias ações significativas dos administradores da rede. 

As funções de remediação incluem, por exemplo, a quarentena de arquivos, o rollback de configurações, o bloqueio de comportamentos maliciosos de usuários e processos, entre outros.

Técnicas de remediação de vulnerabilidades (como a configuração de patches) também fazem parte das capacidades de remediação desejadas nas soluções de segurança do endpoint. 

Análise e contenção automática de ameaças são importantes diferenciais 

As abordagens tradicionais de segurança do endpoint se tornaram ultrapassadas e menos efetivas, fazendo com que a precisão na detecção de ameaças e as medidas automáticas de contenção se tornassem diferenciais importantes, ditando quais são os fornecedores de destaque no mercado. 

O Forrester Wave avaliou os pontos fortes e as fraquezas de fornecedores de suítes de segurança do endpoint com base em 25 critérios divididos em três grupos: oferta atual, estratégia e presença no mercado.

Tenha acesso ao relatório The Forrester Wave™: Endpoint Security Suites, Q4 2016 completo. 

A Cylance, uma das empresas avaliadas pela Forrester, está redefinindo o padrão de segurança do endpoint com uma solução de NGAV que já foi implantada em mais de 4 milhões de endpoints, protegendo milhares de clientes nas maiores empresas do mundo contra ameaças do tipo zero-day, ransomware e outros ataques sofisticados. 

A PROOF é a primeira empresa de serviços gerenciados de segurança (em inglês, managed security services – MSS) a oferecer uma solução de NGAV no Brasil.

Em parceria com a Cylance, a PROOF alia serviço especializado de segurança a uma solução contra ameaças avançadas. Conheça o MSS PROOF.

Prevenção vs Detecção e Resposta

Existe uma grande discussão sobre a necessidade de mudar a abordagem da segurança da informação de um foco em prevenção para dar mais ênfase à parte de detecção e resposta.

Afinal, em um mundo onde devemos assumir que todos já foram invadidos, a estratégia lógica é investir em identificação e contenção rápida das ameaças. 

Isso não significa que as empresas devam deixar de investir em práticas de prevenção, como a correção de vulnerabilidades, no entanto, o debate sobre prevenção, detecção e resposta gerou uma série de equívocos e falsas expectativas. 

A ideia geral é a de que tecnologias e abordagens preventivas, como gestão de vulnerabilidades e sistemas de prevenção de intrusão, não são suficientes para mitigar várias das ameaças mais avançadas e modernas e que, por isso, as empresas precisam investir mais em detecção de ameaças e resposta a incidentes. 

Infelizmente, alguns interpretaram isso como “não gaste dinheiro com prevenção”, o que é totalmente equivocado.

Alguns críticos ainda argumentam que velhas vulnerabilidades ainda são responsáveis por 85% da exploração do tráfego de dados pelos cibercriminosos, segundo o relatório DataBreach Report 2016 da Verizon. 

Usar isso como argumento é extremamente arriscado, pois não há uma interpretação correta das causas e do impacto desse problema.

Em geral, os hackers buscam essas falhas antigas porque estão buscando algo fácil que possa trazer grande retorno, trata-se de oportunismo.

Isso não significa que as falhas de segurança novas não possam ser usadas também. 

Como contra-argumento, podemos usar a seguinte estatística: 63% das violações de dados confirmadas envolvem senhas fracas ou roubadas.

Uma boa estratégia de prevenção poderia evitar o problema das senhas fracas, reforçando a necessidade de senhas fortes, por exemplo. 

Porém, essa estratégia irá por água abaixo se as senhas forem roubadas.

Nesse caso, o monitoramento de acesso e das atividades do usuário vai oferecer um controle mais assertivo, pois vai identificar quando um usuário falso estiver tentando se passar por usuário legítimo. 

Crie uma estratégia balanceada 

Se sua empresa conta com uma boa estratégia de prevenção, é provável que um hacker insistente tente obter acesso não autorizado à sua rede de outras maneiras, usando técnicas de engenharia social e malwares do tipo zero-day, por exemplo.

Nesses casos, a prevenção pode fazer pouco pela sua segurança e, se você não contar com uma estratégia e tecnologias de detecção e resposta, estará praticamente “cego” quando o assunto for ameaças avançadas. 

Isso mostra que as empresas precisam investir cada vez mais em uma abordagem que privilegie a detecção e a resposta, mas as tecnologias de prevenção ainda são a base de qualquer bom programa de segurança, pois, sem isso, é impossível proteger seu ambiente contra as ameaças mais básicas. 

Ferramentas de prevenção tornam a vida do hacker mais difícil, pois os forçam a recorrer a técnicas mais sofisticadas de invasão.

Com isso, o cibercriminoso é obrigado a fazer “barulho” e é detectado mais facilmente pelos sistemas de detecção e resposta. 

Ou seja, uma boa estratégia de segurança deve prevenir o que pode e detectar e responder o resto.

Deixar de investir em prevenção ou confiar que apenas a prevenção será capaz de cuidar de todas as ameaças atuais pode ser extremamente arriscado para o negócio.

Uma boa estratégia de segurança da informação deve ser bem balanceada entre prevenção, detecção e resposta. 

Entenda o que precisa mudar na sua estratégia de segurança para se proteger no atual cenário de ameaças: 

Gestão de vulnerabilidades 

Apesar de algumas falhas de segurança serem mais complexas, o mais comum é que a maioria das vulnerabilidades seja resolvida com a aplicação de patches e a reconfiguração da infraestrutura existente.

O desafio é quando há mais falhas de segurança do que recursos para corrigi-las. 

Para lidar de maneira efetiva com vulnerabilidades conhecidas, é preciso priorizá-las de acordo com a criticidade e o valor dos ativos corporativos afetados e com o custo e o tempo para resolvê-las de maneira efetiva. 

Informações do Data Breach Investigation Report, da Verizon, indicam que apenas 5% das falhas de segurança de 2014 se originaram durante o período.

A maioria datava de muito tempo atrás, incluindo década de 1990. 

Boa priorização pode reduzir consideravelmente a lista de gestão de patches, transformando uma relação de tarefas sem fim em uma ferramenta útil na tomada de decisões. 

Ameaças desconhecidas 

Todos os dias surgem novas ameaças e nem todos os vetores de ataque são bem compreendidos – alguns são mais criativos e não tão óbvios.

Os softwares baseados em assinaturas ainda tem um papel importante, mas as novas exigências de detecção e resposta exigem padrões de atividades diferenciadas.

Por essa razão, as empresas precisam de feeds de inteligência em segurança. 

O primeiro passo é contextualizar as ameaças e sua relevância na empresa.

Isso envolve um grande trabalho manual, que exige bastante habilidade da equipe de TI para analisar indicadores que podem chegar a qualquer momento por meio de diversas aplicações. 

Muitos analistas podem fazer um bom trabalho, mas a tendência é que isso seja cada vez mais automatizado por meio de ferramentas capazes de correlacionar dados de segurança de diferentes fontes para reduzir o tempo de detecção de ameaças, incluindo até a análise de feeds de inteligência em segurança. 

Violações de dados 

Uma grande empresa geralmente tem mais de 60 diferentes produtos de segurança em seu ambiente para evitar violações de dados.

Infelizmente, isso não é garantia de nada.

Vários indicadores de violações de dados estão escondidos dentro de aplicações de segurança, mas muitas empresas não são capazes de identificá-los. 

Uma das causas desse problema é que a maioria das soluções de segurança não se integra e é disposta em diferentes silos.

Uma pode ser excepcional em uma tarefa, mas pode falhar em outra se não detecta pequenas alterações que se correlacionam com atividades detectadas na rede

Uma solução capaz de correlacionar dados de diversos sistemas é essencial para reduzir o tempo de detecção de uma violação. 

Investimento em detecção cresce a cada dia 

As equipes de segurança da informação estão cada vez mais conscientes de que é praticamente impossível prevenir todos os ataques à rede e ao usuário.

Isso tem causado mudanças no modo de investir em segurança. 

Dados divulgados pelo Gartner no último ano estimam que as equipes de segurança gastam cerca de 10% do budget com produtos focados em detecção de intrusos dentro da rede atualmente.

Segundo o instituto, isso deve subir para 75% em 2020

A necessidade de detectar ameaças avançadas e responder a elas com rapidez, tem feito com que muitas empresas passassem a implementar uma série de novos produtos com foco em detecção e resposta rápida.

Essas aplicações atuam identificando como o “bom” tráfego se parece para então detectar anomalias e prever falhas. 

No entanto, o simples gasto com softwares de segurança caros de detecção e resposta não é suficiente para manter o ambiente seguro.

Muitas empresas acabam investindo em controles que acham que vão resolver todos os seus problemas, mas, a rigor, não estão agregando em nada à segurança